Onderzoek: CISO's binnen de overheid eenzaam en in uitdagende relatie met bestuurder

Veel van de Chief Information Security Officers (CISO's), werkzaam binnen de Nederlandse overheid, vervullen hun functie solitair binnen zijn of haar organisatie zonder eigen medewerkers. Een aanzienlijk deel doet dat parttime. En ze zijn slechts beperkt betrokken bij de inkoop van veilige hard- en software.

Dit blijkt uit de enquête 'Hoe ervaren CISO's hun werk en werkomgeving?', die in het najaar van 2019 werd gehouden door het Centrum voor Informatiebeveiliging en Privacybescherming (CIP), onder meer dan 100 CISO's en 40 bestuurders. Over het algemeen zijn CISO's en hun bestuurder beide goed te spreken over hun onderlinge relatie, terwijl een verrassend groot aantal van de responderende CISO's rapporteert aan een bestuurder. Beide groepen functionarissen zijn opvallend eensgezind over de taken en verantwoordelijkheden van de CISO.

Toch is er ook discrepantie. De bestuurders zeggen grote prioriteit toe te kennen aan informatieveiligheid, en hun zicht op potentiële risico's en schade bij incidenten lijkt zelfs sterker en breder dan van de CISO's. Echter, de CISO's wensen zich een bestuurder die de ambassadeursrol meer nadrukkelijk invult, meer budget beschikbaar stelt en wat beter toegankelijk is. De bestuurder ziet graag een meer adviserende CISO. Zelf zouden de CISO's meer strategisch bezig willen zijn. Kortom, toch werk aan de winkel.

'Beperk mandaat en trage besluitvorming'

Krijgt de functie van CISO wel voldoende prioriteit? Gebrek aan 'steun middelmanagement', 'beperkt mandaat', 'trage besluitvorming' en 'beperkte middelen' komen uit de enquête naar voren als grootste hinderpalen in hun praktijk. Daarnaast geven CISO's zelf slechts beperkt betrokken te worden bij veranderingsprocessen in de informatievoorziening en informatieveiligheid. Ter nuancering: velen van hen lijken dit te hebben gedelegeerd naar een meer uitvoerend niveau.

De CIP CISO Enquête maakt duidelijk dat veel organisaties al hebben gekozen voor invoering van de nieuwe Baseline Informatiebeveiliging Overheid (BIO). De weg naar vooral het NCSC, VNG/IBD en het CIP voor praktische ondersteuning wordt goed gevonden en gewaardeerd. De aansluiting bij ondersteunende netwerken voor preventie en respons bij incidenten (SOC's, CERT's, Nationaal Detectienetwerk en ISAC's) kan nog wel beter. Die kunnen de CISO helpen bij zijn taaie 'gewetensrol' op het gebied van het informatiebeveiligingsbeleid, en hen helpen om hun organisaties daadwerkelijk en meer structureel veilig te houden.

De volledige enquête is hier te vinden.